2006年06月08日

システム管理者の心得? 〜 OpenSSLコマンドで証明書をチェック(2)

はてなブックマークに登録

先日の投稿で、 openssl s_client コマンドを使って軽く通信試験をしてみました。
実際にやってみた方はお気づきかもしれませんが、あのコマンドだと以下のようなエラーがでます。


$ openssl s_client -connect localhost:4433

CONNECTED(00000003)

depth=0 (subject)

verify error:num=20:unable to get local issuer certificate

verify return:1

depth=0 (subject)

verify error:num=27:certificate not trusted

verify return:1

depth=0 (subject)

verify error:num=21:unable to verify the first certificate

verify return:1

---

Certificate chain

 0 s:(subject)

   i:(issuer)

---

Server certificate

-----BEGIN CERTIFICATE-----

(略)

-----END CERTIFICATE-----

subject=(subject)

issuer=(Issuer)

---

No client certificate CA names sent

---

SSL handshake has read 1116 bytes and written 250 bytes

---

New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA

Server public key is 512 bit

SSL-Session:

    Protocol  : TLSv1

    Cipher    : EDH-RSA-DES-CBC3-SHA

    Session-ID: 

    Session-ID-ctx:

    Master-Key: 

    Key-Arg   : None

    Start Time: 1149746479

    Timeout   : 300 (sec)

    Verify return code: 21 (unable to verify the first certificate)

---


verify error: とか最後の Verify return code: 21 って気になりますよね? 
そうなんです、一応通信はできてはいますが証明書の検証ができていないんです。
SSLで通信する際には、受け取った証明書が正しいものかどうかを検証する必要があります。
大抵のブラウザには、はじめからいくつかの認証局の証明書がインストールされており、自動で検証してくれるので気にならないかもしれませんが、openssl コマンドを使う場合には CA証明書を手動で指定しなければいけません。CA証明書の入手方法は・・・・ってここにリンク先を書くのはお行儀が悪いので、ご利用の認証機関のサイトを訪ねてみてください。

で、CA証明書のファイル名を CA.pem とした場合、s_client では以下のように指定します。



$ openssl s_client -connect localhost:4433 -CAfile CA.pem


すると、実行結果はこんな感じになります。



CONNECTED(00000003)

depth=2 .....

verify return:1

depth=1 .....

verify return:1

depth=0 .....

verify return:1

---

Certificate chain

 0 s:(subject)

   i:(issuer)

---

Server certificate

-----BEGIN CERTIFICATE-----

(中略)

-----END CERTIFICATE-----

subject=(subject)

issuer=(issuer)

---

No client certificate CA names sent

---

SSL handshake has read 1116 bytes and written 250 bytes

---

New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA

Server public key is 512 bit

SSL-Session:

    Protocol  : TLSv1

    Cipher    : EDH-RSA-DES-CBC3-SHA

    Session-ID:

    Session-ID-ctx:

    Master-Key:

    Key-Arg   : None

    Start Time: 1149748977

    Timeout   : 300 (sec)

    Verify return code: 0 (ok)

---


かなりすっきりしました。
やはり Verify return code: 0 (ok) は気持ちがいいものです。

また、万一証明書の有効期限が切れている場合は、



    Verify return code: 10 (Certificate has expired)


な感じになります。

klab_gijutsu2 at 15:56│Comments(0)TrackBack(0)
このBlogのトップへ前の記事次の記事

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔   
 
 
 
Blog内検索
最新記事
KLabサーバーサイドキャンプを開催しました
デプスカメラを「雄弁なスチルカメラ」として利用する
オプティカルフローを簡易ジェスチャ認識に利用する
xv6にネットワーク機能を実装した
デプスカメラを「バーチャル背景」用 Web カメラとして使う
ひもスイッチでスマート照明を操作する
電子工作での AC 給電制御と米国製「IoT Relay」のこと
第一回 KLab Expert Camp「TCP/IPプロトコルスタック自作開発」を開催しました
その学習リモコンであの機器を操作できない原因を探る
生活を「不自由」にするためのソリューション
スマートプラグ + ESP32 で超シンプルに Wake On Wan
MySQLの新認証方式について
Archives
このブログについて
DSASとは、KLab が構築し運用しているコンテンツサービス用のLinuxベースのインフラです。現在5ヶ所のデータセンタにて構築し、運用していますが、我々はDSASをより使いやすく、より安全に、そしてより省力で運用できることを目指して、日々改良に勤しんでいます。
このブログでは、そんな DSAS で使っている技術の紹介や、実験してみた結果の報告、トラブルに巻き込まれた時の経験談など、広く深く、色々な話題を織りまぜて紹介していきたいと思います。
最新コメント